Telecommunication Software SAMwin Contact Center Suite 5.1 Credential SAMwinLIBVB.dll getCurrentDBVersion 弱い認証
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.0 | $0-$5k | 0.09 |
要約
現在、Telecommunication Software SAMwin Contact Center Suite 5.1にて、問題があると分類される脆弱性が確認されています。 影響を受けるのは 関数getCurrentDBVersion ライブラリSAMwinLIBVB.dll内 コンポーネントCredential Handlerのです。 操作結果として 弱い認証につながります。
この脆弱性はCVE-2013-10002として知られています。 入手できるエクスプロイトツールはありません。
該当するコンポーネントのアップグレードを推奨します。
詳細
現在、Telecommunication Software SAMwin Contact Center Suite 5.1にて、問題があると分類される脆弱性が確認されています。 影響を受けるのは 関数getCurrentDBVersion ライブラリSAMwinLIBVB.dll内 コンポーネントCredential Handlerのです。 操作結果として 弱い認証につながります。 CWEによる問題の宣言は、CWE-798 につながります。 この脆弱性は 2014年03月13日に modzero AGの Tobias Ospelt and Max Moserより「ウェブサイト」の 勧告にて 「MZ-13-06」として 紹介されました。 アドバイザリーは modzero.ch にてダウンロード用に公開されています。 一般向けリリースはベンダーと調整済みです。
この脆弱性はCVE-2013-10002として知られています。 技術的な情報が提供されています。 この脆弱性の普及度は平均未満です。 入手できるエクスプロイトツールはありません。 現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1110.001 を使用しました。 勧告では次の点が指摘されています:
The SAMwin Agent is designed to use hard coded database authentication credentials to connect to the SQL database server during startup, prior to any other authentication. To logon to the SAMwin Agent application, the user enters his access credentials into the corresponding fields in the login mask. When a user enters his SAMwin account information into the login screen, SQL queries are sent directly to the database server using hard coded credentials verifying the given username and password against credentials stored in the database.
このエクスプロイトツールは 未定義 として宣言されています。 この脆弱性は少なくとも174日間、非公開のゼロデイ攻撃として扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。
バージョン 6.2 をアップグレードすることで、この問題に対処できます。 該当するコンポーネントのアップグレードを推奨します。
影響あり
- Telecommunication Software SAMwin Contact Center Suite 5.1
- Telecommunication Software SAMwin Agent 5.01.19.06
製品
ベンダー
名前
バージョン
CPE 2.3
CPE 2.2
スクリーンショット
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.5VulDB 一時的なメタスコア: 6.0
VulDB ベーススコア: 6.5
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 弱い認証CWE: CWE-798 / CWE-259 / CWE-255
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: SAMwin Contact Center Suite 6.2
タイムライン
2013年09月20日 🔍2013年09月24日 🔍
2014年03月13日 🔍
2014年04月03日 🔍
2022年05月24日 🔍
ソース
勧告: MZ-13-06調査者: Tobias Ospelt, Max Moser
組織: modzero AG
ステータス: 未定義
調整済み: 🔍
CVE: CVE-2013-10002 (🔍)
GCVE (CVE): GCVE-0-2013-10002
GCVE (VulDB): GCVE-100-12788
関連情報: 🔍
エントリ
作成済み: 2014年04月03日 17:21更新済み: 2022年05月24日 15:14
変更: 2014年04月03日 17:21 (51), 2019年03月31日 22:10 (1), 2022年05月24日 15:14 (3)
完了: 🔍
Cache ID: 216:C66:103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。